Endüstriyel teknoloji ve sürdürülebilirlik alanında küresel bir lider olan Schneider Electric, veri merkezi ekipmanı için ölçeklenebilir bir izleme çözümü olan EcoStrruxure BT Veri Merkezi Uzmanı (DCE) yazılımında birden fazla güvenlik açıkını ortaya çıkaran kritik bir güvenlik bildirimi yayınlamıştır.
8 Temmuz 2025’te, belge referansı SEVD-2025-189-01 altında piyasaya sürüldü, danışma detayları, 8.3 ve ürün öncesinde sürümleri etkileyen altı şiddetli kusur.
Bu güvenlik açıkları, istismar edilirse, yetkisiz erişim, bilgi açıklaması ve uzaktan uzlaşmaya yol açabilir ve kritik altyapı ortamlarında operasyonel süreklilik ve veri güvenliği için önemli riskler oluşturabilir.
Kritik güvenlik açıkları tanımlandı
En endişe verici sorunlar arasında CVE-2025-50121, CVSS V3.1 skoru 10 (kritik) ve CVSS V4.0 skoru 9.5 olan bir OS komutu enjeksiyon güvenlik açığı (CWE-78) bulunmaktadır.
Bu kusur, varsayılan olarak devre dışı bırakılmasına rağmen, HTTP etkinleştirildiğinde web arayüzü aracılığıyla kimlik doğrulanmamış uzaktan kod yürütülmesine izin verir.
Bir diğer kritik endişe, saldırganların kurulum veya yükseltme artışlarını kullanarak tersine mühendis kök şifrelerini tersine çevirebilen CVSS V3.1 skoru 8.3 (yüksek) olan yetersiz bir entropi güvenlik açığı (CWE-331) olan CVE-2025-50122’dir.
Ek olarak, CVE-2025-50123 (Kod Enjeksiyonu, CWE-94) ve CVE-2025-50124 (uygunsuz ayrıcalık yönetimi, CWE-269) sistemleri uzaktan komut yürütme ve ayrıcalık artış risklerine maruz bırakır, özellikle de ayrıcalıklı hesaplar tarafından konsol veya belirli komut dosyaları aracılığıyla erişildiğinde.
İmtiyaz yükseltme riskleri
CVE-2025-50125, bir sunucu tarafı isteği ampgüneri (SSRF, CWE-918) sorununu vurgularken, manipüle edilmiş ana bilgisayar istek başlıkları aracılığıyla yetkilendirilmemiş uzaktan kod yürütülmesini sağlarken, CVE-2025-6438, bir XML harici varlık (XXE, CWE-611) kusurunu ortaya çıkarır.
Bu güvenlik açıkları, veri merkezi işlemlerinde felaket ihlallerini önlemek için acil iyileşme ihtiyacının altını çizmektedir.
Schneider Electric, Müşteri Bakım Merkezleri aracılığıyla mevcut olan bu sorunları ele almak için EcoStrruxure BT veri merkezi uzmanının 9.0 sürümünü yayınladı.
Şirket, müşterileri geliştirme ortamlarında test etmek ve dağıtım risklerini azaltmak için yedeklemeleri korumak da dahil olmak üzere sağlam metodolojiler kullanarak yükseltmeyi uygulamaya çağırıyor.
Hemen güncelleyemeyenler için Schneider, EcOstruxure BT Veri Merkezi Uzman Güvenlik El Kitabı’na göre DCE örneklerinin sertleşmesini ve siber güvenlik en iyi uygulamalarını benimsemenizi önerir.
Bunlar arasında kontrol sistemlerinin güvenlik duvarlarının arkasındaki izole edilmesi, ekipmana fiziksel erişimi kısıtlamak, VPN’ler gibi güvenli uzaktan erişim yöntemlerini kullanarak ve kritik cihazların internet maruziyetini en aza indirme yer alır.
Bildirim ayrıca bu kusurları tanımlamak ve koordineli bir yanıtta yardımcı olmak için araştırmacılar Jaggar Henry ve Korelogic, Inc.’den Jim Becher’e de kredi veriyor.
Schneider Electric, temel şiddet puanları sağlanırken, son kullanıcıların sistemleri üzerindeki özel etkiyi değerlendirmek için çevresel metrikleri değerlendirmeleri gerektiğini vurgulamaktadır.
Daha fazla yardım için müşteriler Schneider’in Endüstriyel Siber Güvenlik Hizmetleri ile iletişime geçmeye veya Siber Güvenlik Destek Portalını ziyaret etmeye yönlendirilir.
Bu olay, endüstriyel IoT’de gelişen tehdit manzarasının ve kritik altyapıyı sofistike siber tehditlerden korumak için proaktif güvenlik önlemlerinin önemi olduğunu hatırlatıyor.
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.